AVrecon Botnet Malware attaque des milliers de routeurs Linux

AVrecon est un logiciel malveillant basé sur Linux qui cause des problèmes importants depuis mai 2021. Il a infecté plus de 70 000 routeurs de petits bureaux/bureaux à domicile (SOHO), créant un botnet dans le but de voler de la bande passante et d'exploiter un service de proxy résidentiel caché. Les opérateurs d'AVrecon ont utilisé diverses activités malveillantes, allant de la fraude publicitaire numérique à la pulvérisation de mots de passe, en tirant parti des capacités du botnet.

L'équipe de recherche sur les menaces de Black Lotus Labs à Lumen surveille de près les activités d'AVrecon. Ils ont découvert que bien que le cheval de Troie d'accès à distance (RAT) ait compromis plus de 70 000 appareils, seuls 40 000 ont été ajoutés avec succès au botnet. AVrecon a démontré une capacité remarquable à rester non détecté depuis son identification initiale en mai 2021, ciblant spécifiquement les routeurs Netgear. Il a réussi à éviter d'être détecté pendant plus de deux ans, élargissant régulièrement son influence et devenant l'un des botnets les plus importants axés sur les routeurs SOHO ces derniers temps.

Ce que les experts pensent des dangers du logiciel malveillant AVrecon Botnet

Les experts de Black Lotus Labs soupçonnent que les acteurs de la menace derrière AVrecon ont intentionnellement ciblé les appareils SOHO que les utilisateurs seraient moins susceptibles de corriger contre les vulnérabilités et expositions connues (CVE). Au lieu de rechercher un gain financier immédiat, les opérateurs ont adopté une approche patiente, leur permettant d'opérer secrètement pendant une période prolongée. En raison de la nature clandestine du logiciel malveillant, les propriétaires de machines infectées remarquent rarement des interruptions de service ou une perte de bande passante.

Une fois qu'un routeur est infecté par AVrecon, le logiciel malveillant transmet les informations de l'appareil compromis à un serveur de commande et de contrôle (C2) intégré à celui-ci. Le serveur ordonne au routeur piraté d'établir une communication avec un groupe distinct de serveurs appelés serveurs C2 de deuxième niveau. Les chercheurs ont identifié 15 de ces serveurs de contrôle de deuxième étape, qui sont opérationnels depuis au moins octobre 2021 sur la base des informations de certificat x.509.

En réponse à la menace AVrecon, l'équipe de sécurité Black Lotus de Lumen a pris des mesures en acheminant le serveur C2 du botnet sur son réseau fédérateur. Cette action a effectivement rompu la connexion entre le botnet malveillant et son serveur de contrôle central, entravant considérablement sa capacité à mener des activités nuisibles. Le cryptage utilisé par AVrecon a empêché les chercheurs de fournir des détails spécifiques sur le succès des tentatives de pulvérisation de mot de passe, mais le routage nul des nœuds C2 et le blocage du trafic via les serveurs proxy ont rendu le botnet inerte sur la dorsale Lumen.

Les sombres perspectives du logiciel malveillant AVrecon Botnet

Reconnaissant la gravité de cette menace, la Cybersecurity and Infrastructure Security Agency (CISA) a publié une directive opérationnelle contraignante (BOD) ordonnant aux agences fédérales américaines de sécuriser les équipements de réseau exposés à Internet, y compris les routeurs SOHO, dans les 14 jours suivant leur découverte afin de prévenir les violations potentielles. La compromission de ces dispositifs donnerait aux acteurs de la menace la possibilité d'intégrer les routeurs piratés dans leur infrastructure d'attaque, servant de rampe de lancement pour le mouvement latéral dans les réseaux internes, comme l'a averti la CISA.

Le danger posé par AVrecon provient du fait que les routeurs SOHO existent généralement en dehors du périmètre de sécurité conventionnel, ce qui rend difficile pour les défenseurs de détecter les activités malveillantes. Ce modus operandi reflète les tactiques employées par le groupe de cyberespionnage chinois connu sous le nom de Volt Typhoon. Ils ont utilisé des techniques similaires pour créer un réseau proxy secret à l'aide d'équipements réseau SOHO compromis d'ASUS, Cisco, D-Link, Netgear, FatPipe et Zyxel. Le réseau proxy secret a été utilisé pour dissimuler des activités malveillantes dans le trafic réseau légitime tout en ciblant les organisations d'infrastructures critiques aux États-Unis depuis au moins la mi-2021.

Par Zane
July 14, 2023
Malware
Français
July 14, 2023
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.